Gambaran umum tentang enkripsi Azure

Artikel ini memberikan gambaran umum bagaimana enkripsi digunakan Microsoft Azure. Hal ini mencakup area utama enkripsi, termasuk enkripsi tidak aktif, enkripsi dalam penerbangan, dan manajemen kunci dengan Azure Key Vault.

Enkripsi data tidak aktif

Data saat tidak aktif mencakup informasi yang berada dalam penyimpanan persisten di media fisik, dalam format digital apa pun. Microsoft Azure menawarkan beberapa solusi penyimpanan data untuk memenuhi berbagai kebutuhan, termasuk file, disk, blob, dan penyimpanan tabel. Microsoft juga menyediakan enkripsi untuk melindungi Azure SQL Database, Azure Cosmos DB, dan Azure Data Lake.

Anda dapat menggunakan enkripsi AES 256 untuk melindungi data yang tidak aktif dalam layanan pada model cloud software as a service (SaaS), platform as a service (PaaS), dan infrastructure as a service (IaaS).

Untuk diskusi yang lebih rinci tentang cara Azure mengenkripsi data dalam keadaan diam, lihat Azure Data Encryption at Rest.

Model enkripsi Azure

Azure mendukung berbagai model enkripsi, termasuk enkripsi sisi server yang menggunakan kunci yang dikelola layanan, kunci yang dikelola pelanggan di Key Vault, atau kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan. Dengan menggunakan enkripsi sisi klien, Anda dapat mengelola dan menyimpan kunci secara lokal atau di lokasi aman lainnya.

Enkripsi sisi klien

Anda melakukan enkripsi sisi klien di luar Azure. Ini termasuk:

• Data yang dienkripsi oleh aplikasi yang berjalan di pusat data Anda atau oleh aplikasi layanan
• Data yang sudah dienkripsi saat Azure menerimanya

Dengan menggunakan enkripsi sisi klien, penyedia layanan cloud tidak memiliki akses ke kunci enkripsi dan tidak dapat mendekripsi data ini. Anda mempertahankan kontrol penuh pada kunci.

Enkripsi sisi server

Tiga model enkripsi sisi server menawarkan karakteristik manajemen kunci yang berbeda:

• Kunci yang dikelola oleh layanan: Menyediakan kombinasi kontrol dan kenyamanan dengan beban tambahan yang rendah.
• Kunci yang dikelola pelanggan: Memberi Anda kontrol atas kunci, termasuk dukungan Bring Your Own Keys (BYOK), atau memungkinkan Anda menghasilkan yang baru.
• Kunci yang dikelola layanan dalam perangkat keras yang dikontrol pelanggan: Memungkinkan Anda mengelola kunci di repositori milik Anda, di luar kontrol Microsoft (juga disebut Host Your Own Key atau HYOK).

Azure Disk Encryption

Penting

Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.

Gunakan enkripsi di host untuk VM baru. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.

Semua Disk Terkelola, Rekam Jepret, dan Gambar dienkripsi secara default menggunakan Enkripsi Layanan Penyimpanan dengan kunci yang dikelola layanan. Untuk komputer virtual, enkripsi di host menyediakan enkripsi end-to-end untuk data VM Anda, termasuk disk sementara dan cache disk OS/data. Azure juga menawarkan opsi untuk mengelola kunci di Azure Key Vault. Untuk informasi selengkapnya, lihat Gambaran Umum opsi enkripsi disk terkelola.

Enkripsi Layanan Azure Storage

Anda dapat mengenkripsi data tidak aktif di penyimpanan Azure Blob dan berbagi file Azure untuk skenario sisi server dan sisi klien.

Azure Storage Service Encryption (SSE) secara otomatis mengenkripsi data sebelum disimpan dan secara otomatis mendekripsi data saat Anda mengambilnya. Enkripsi Layanan Penyimpanan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia.

Enkripsi Azure SQL Database

Azure SQL Database adalah layanan database relasional tujuan umum yang mendukung struktur seperti data relasional, JSON, spasial, dan XML. SQL Database mendukung enkripsi sisi server melalui fitur Transparent Data Encryption (TDE) dan enkripsi sisi klien melalui fitur Always Encrypted.

Enkripsi Data Transparan

TDE mengenkripsi file data SQL Server, Azure SQL Database, dan Azure Synapse Analytics secara real time dengan menggunakan Kunci Enkripsi Database (DEK). TDE diaktifkan secara default pada database Azure SQL yang baru dibuat.

Selalu Terenkripsi

Fitur Always Encrypted di Azure SQL memungkinkan Anda mengenkripsi data dalam aplikasi klien sebelum menyimpannya di Azure SQL Database. Anda dapat mengaktifkan delegasi administrasi database lokal kepada pihak ketiga sambil mempertahankan pemisahan antara mereka yang memiliki dan dapat melihat data dan mereka yang mengelolanya.

Enkripsi tingkat sel atau tingkat kolom

Dengan Azure SQL Database, Anda dapat menerapkan enkripsi simetris ke kolom data menggunakan Transact-SQL. Pendekatan ini disebut enkripsi tingkat sel atau enkripsi tingkat kolom (CLE), karena Anda dapat menggunakannya untuk mengenkripsi kolom atau sel tertentu dengan kunci enkripsi yang berbeda. Pendekatan ini memberi Anda kemampuan enkripsi yang lebih terperinci daripada TDE.

Enkripsi database Azure Cosmos DB

Azure Cosmos DB adalah database multi-model Microsoft yang didistribusikan secara global. Data pengguna yang disimpan di Azure Cosmos DB dalam penyimpanan non-volatil (solid-state drive) dienkripsi secara default dengan menggunakan kunci yang dikelola layanan. Anda dapat menambahkan enkripsi lapisan kedua dengan kunci Anda sendiri dengan menggunakan fitur kunci yang dikelola pelanggan (CMK ).

Enkripsi tidak aktif di Azure Data Lake

Azure Data Lake adalah repositori seluruh perusahaan dari setiap jenis data yang dikumpulkan di satu tempat sebelum definisi formal persyaratan atau skema apa pun. Data Lake Store mendukung enkripsi transparan saat tidak aktif yang aktif secara default dan disiapkan selama pembuatan akun Anda. Secara default, Azure Data Lake Store mengelola kunci untuk Anda, tetapi Anda dapat memilih untuk mengelolanya sendiri.

Tiga jenis kunci digunakan dalam mengenkripsi dan mendekripsi data: Kunci Enkripsi Master (MEK), Kunci Enkripsi Data (DEK), dan Kunci Enkripsi Blok (BEK). MEK mengenkripsi DEK, yang disimpan di media persisten, dan BEK berasal dari DEK dan blok data. Jika Anda mengelola kunci Anda sendiri, Anda dapat memutar MEK.

Enkripsi data saat transit

Azure menyediakan banyak mekanisme untuk menjaga data tetap privat saat berpindah dari satu lokasi ke lokasi lain.

Enkripsi lapisan tautan data

Setiap kali lalu lintas pelanggan Azure berpindah antar pusat data - di luar batas fisik yang tidak dikontrol oleh Microsoft - metode enkripsi lapisan tautan data menggunakan Standar Keamanan MAC IEEE 802.1AE (juga dikenal sebagai MACsec) diterapkan dari titik ke titik di seluruh perangkat keras jaringan yang mendasar. Perangkat mengenkripsi paket sebelum mengirimkannya, yang mencegah serangan fisik "man-in-the-middle" atau penyadapan/menguping. Enkripsi MACsec ini aktif secara default untuk semua lalu lintas Azure yang bepergian dalam suatu wilayah atau antar wilayah.

Enkripsi TLS

Microsoft memberi pelanggan kemampuan untuk menggunakan protokol Keamanan Lapisan Transportasi (TLS) untuk melindungi data saat bepergian antara layanan cloud dan pelanggan. Pusat data Microsoft menegosiasikan koneksi TLS dengan sistem klien yang tersambung ke layanan Azure. TLS menyediakan autentikasi, privasi pesan, dan integritas yang kuat.

Penting

Azure bertransisi untuk memerlukan TLS 1.2 atau yang lebih baru untuk semua koneksi ke layanan Azure. Sebagian besar layanan Azure menyelesaikan transisi ini pada 31 Agustus 2025. Pastikan aplikasi Anda menggunakan TLS 1.2 atau yang lebih baru.

Perfect Forward Secrecy (PFS) melindungi koneksi antara sistem klien pelanggan dan layanan cloud Microsoft dengan kunci unik. Koneksi mendukung panjang kunci 2.048-bit berbasis RSA, panjang kunci ECC 256-bit, autentikasi pesan SHA-384, dan enkripsi data AES-256.

Transaksi Azure Storage

Saat Anda berinteraksi dengan Azure Storage melalui portal Microsoft Azure, semua transaksi berlangsung melalui HTTPS. Anda juga dapat menggunakan Storage REST API melalui HTTPS untuk berinteraksi dengan Azure Storage. Anda dapat memberlakukan penggunaan HTTPS saat memanggil REST API dengan mengaktifkan persyaratan transfer aman untuk akun penyimpanan.

Tanda Tangan Akses Bersama (SAS), yang dapat Anda gunakan untuk mendelegasikan akses ke objek Azure Storage, menyertakan opsi untuk menentukan bahwa hanya protokol HTTPS yang dapat digunakan.

Enkripsi Protokol SMB

SMB 3.0, digunakan untuk mengakses berbagi Azure Files, mendukung enkripsi dan tersedia di Windows Server 2012 R2, Windows 8, Windows 8.1, dan Windows 10. Ini mendukung akses lintas wilayah dan akses di desktop.

Enkripsi VPN

Anda dapat terhubung ke Azure melalui jaringan privat virtual yang membuat terowongan aman untuk melindungi privasi data yang dikirim di seluruh jaringan.

Gateway VPN Azure

Gateway VPN Azure mengirimkan lalu lintas terenkripsi antara jaringan virtual Anda dan lokasi lokal Anda di seluruh koneksi publik, atau di antara jaringan virtual. VPN situs-ke-situs menggunakan IPsec untuk enkripsi transportasi.

VPN titik ke situs

VPN titik ke situs memungkinkan setiap komputer klien mengakses jaringan virtual Azure. Secure Socket Tunneling Protocol (SSTP) membuat terowongan VPN. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi titik-ke-situs ke jaringan virtual.

VPN Situs ke situs

Koneksi gateway VPN situs-ke-situs menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE. Untuk informasi selengkapnya, lihat Membuat koneksi situs-ke-situs.

Manajemen kunci dengan Azure Key Vault

Tanpa perlindungan dan pengelolaan kunci yang tepat, enkripsi tidak berguna. Azure menawarkan beberapa solusi manajemen utama, termasuk Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM, dan Azure Payment HSM.

Key Vault menghapus kebutuhan untuk mengonfigurasi, menambal, dan memelihara modul keamanan perangkat keras (HSM) dan perangkat lunak manajemen kunci. Dengan menggunakan Key Vault, Anda mempertahankan kontrol—Microsoft tidak pernah melihat kunci Anda, dan aplikasi tidak memiliki akses langsung ke kunci tersebut. Anda juga dapat mengimpor atau menghasilkan kunci dalam HSM.

Untuk informasi selengkapnya tentang manajemen kunci di Azure, lihat Manajemen kunci di Azure.

Langkah berikutnya

• Gambaran umum keamanan Azure
• Gambaran umum keamanan jaringan Azure
• Gambaran umum keamanan database Azure
• Gambaran umum keamanan komputer virtual Azure
• Enkripsi data tidak aktif
• Praktik terbaik keamanan dan enkripsi data
• Manajemen kunci di Azure